POODLE Ciphers!SSLv3 = Несоответствие протокола или набора шифров
Согласно: ANNOUNCE: Pound - обратный прокси-сервер и балансировщик нагрузки - v2.7d / Robert Segall, было добавлено следующее улучшение:
- added "Disable PROTO" directives (fix for Poodle vulnerability)
Моя система:
[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
Ciphers "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#
... к адресу POODLE SSLv3 я добавил !SSLv3 в Ciphers,
Еще при использовании Qualys SSL Labs - Projects / SSL Server Test чтобы проверить, я получаю Protocol or cipher suite mismatch в Handshake Simulation,
Есть ли способ решить эту проблему БЕЗ обновления до Pound v2.7d (бета), а затем с использованием новых директив?
2 ответа
Можно использовать goochjj / pound в ветви pcidss / v2.6, то есть Pound 2.6, плюс патчи шифрования и протокола, необходимые (изначально) для соответствия PCI, и в качестве части этого указывается отключение SSL3.
# grep DisableSSL /etc/pound.cfg
DisableSSLv3
DisableSSLv2
#
* ОБНОВИТЬ *
DisableSSLv3 по-видимому unknown directive используя не исправленный Version 2.6использовать -SSLv3:-SSLv2 Внутри Ciphers,
Ответ @alexus выше отлично сработал для меня. Добавление некоторых дополнительных заметок здесь на случай, если другие встретят эту страницу, как я. Там, кажется, не много хороших указаний для этой конкретной комбинации проблем.
1) Причиной первоначальной проблемы является то, что не исправленная версия Pound отключает все шифры SSLv3 при добавлении !SSLv3 в Ciphers, TLS в основном зависит от одних и тех же шифров, и без них не получится.
2) Старые версии GCC будут выдавать ошибку при попытке запуска ./configure на исправленной версии в ссылке @alexus, так как он не распознает -Wno-unused-result флаг. Я удалил это вручную, и все, кажется, работает нормально после.
3) DisableSSLv3 Директива идет внутри ListenHTTPs блокировать в pound.cfg (сразу после Ciphers директива)